- Prise trouvé sept packages malveillants sur PYPI
- Les packages abusaient de Gmail et WebSocket
- Ils ont été retirés de la plate-forme
Plusieurs forfaits PYPI malveillants ont récemment été observés abusant de Gmail pour exfiltrer des données sensibles volées et communiquer avec leurs opérateurs.
Les chercheurs en cybersécurité, Socket, qui ont trouvé les packages, les ont signalés au référentiel Python et ont ainsi aidé à les retirer de la plate-forme – mais les dégâts ont déjà été causés.
Selon Socket, il y avait sept forfaits PYPI malveillants, dont certains étaient assis sur la plate-forme pendant plus de quatre ans. Cumulativement, ils ont eu plus de 55 000 téléchargements. La plupart sont une imitation de l’emballage de cercueil légitime, avec des noms comme le cercueil-codes-pro, les codes de cercueil, le net2, le net de codes de cercueil, le cercueil-codes-2022, le cercueil2022 et la gravure. L’un s’appelait CFC-BSB.
Comptes d’hébergement compromis
Les chercheurs ont expliqué qu’une fois le package installé sur le dispositif de victime, il se connecte à Gmail en utilisant des informations d’identification codées en dur et contacte le serveur C2.
Il crée ensuite un tunnel à l’aide de WebSocket, et puisque le serveur de messagerie de Gmail est utilisé pour la communication, la communication contourne la plupart des pare-feu et d’autres mesures de sécurité.
En conséquence, les attaquants sont en mesure d’envoyer des commandes, de voler des fichiers, d’exécuter du code et même d’accès aux systèmes à distance.
Cependant, il semble que les escrocs soient principalement intéressés par le vol de cryptographie, car l’une des adresses e-mail des logiciels malveillants qui tenaient la main pour avoir les mots «blockchain» et «bitcoin» it:
«Coffin-Codes-PRO établit une connexion au serveur SMTP de Gmail à l’aide d’identification codé en dur, à savoir Sphacoffin @ gmail[.]comander un mot de passe », dit le rapport.
«Il envoie ensuite un message à une deuxième adresse e-mail, Blockchain[.]Bitcoins2020 @ gmail[.]com signalant poliment et avec impatience que l’implant fonctionne. »
Socket a averti tous les utilisateurs de Python exécutant l’un des packages de leur environnement pour les supprimer immédiatement et faire tourner les clés et les informations d’identification au besoin.
Les chercheurs ont également exhorté tout le monde à surveiller les connexions sortantes inhabituelles, «en particulier le trafic SMTP», et les a avertis de ne pas faire confiance à un package simplement parce qu’il avait quelques années.
“Pour protéger votre base de code, vérifiez toujours l’authenticité du package en vérifiant le nombre de téléchargements, l’historique de l’éditeur et les liens de référentiel GitHub”, ont-ils ajouté.
«Les audits de dépendance réguliers aident à attraper tôt les forfaits inattendus ou malveillants. Gardez les contrôles d’accès stricts sur les clés privées, limitant soigneusement qui peut les afficher ou les importer en développement. Utilisez des environnements isolés et dédiés lorsque vous testez des scripts tiers pour contenir du code potentiellement nocif.»
Via Bleepingcomputer
